Pengantar

WordPress merupakan Content Management System (CMS) yang paling banyak digunakan di dunia. Jutaan website, mulai dari blog pribadi hingga situs perusahaan besar, menggunakan WordPress karena kemudahan instalasi dan banyaknya plugin yang tersedia.

Namun, popularitas WordPress juga menjadikannya target utama para pelaku serangan siber. Salah satu ancaman yang sering muncul berasal dari plugin pihak ketiga yang memiliki celah keamanan.

Baru-baru ini, peneliti keamanan mengungkap adanya kerentanan kritis pada plugin WP Maps Pro yang memungkinkan penyerang membuat akun administrator baru tanpa perlu login terlebih dahulu. Kerentanan ini bahkan telah dieksploitasi secara aktif oleh hacker untuk mengambil alih situs WordPress yang rentan. (bleepingcomputer.com)

Apa Itu WP Maps Pro?

WP Maps Pro adalah plugin WordPress yang digunakan untuk menampilkan peta interaktif pada website.

Plugin ini biasanya digunakan untuk:

  • Menampilkan lokasi kantor.
  • Menampilkan cabang perusahaan.
  • Menampilkan lokasi toko.
  • Menampilkan area layanan bisnis.

Karena fitur yang lengkap, plugin ini cukup populer dan telah digunakan oleh ribuan website WordPress di seluruh dunia. Menurut laporan Wordfence, plugin ini telah terjual lebih dari 15.000 kali sebelum kerentanan ditemukan. (wordfence.com)

Kerentanan yang Ditemukan

Kerentanan ini terdaftar sebagai CVE-2026-8732 dan termasuk kategori Privilege Escalation Vulnerability.

Secara sederhana, kerentanan ini memungkinkan pengguna yang tidak memiliki akses untuk mendapatkan hak administrator penuh pada website WordPress.

Yang membuat masalah ini sangat serius adalah serangan dapat dilakukan tanpa perlu login ke website terlebih dahulu. (freshysites.com)

Dengan kata lain, siapa pun yang mengetahui cara mengeksploitasi celah ini dapat mencoba mengambil alih situs yang rentan melalui internet.

Bagaimana Kerentanan Ini Bekerja?

Untuk memahami masalah ini, kita perlu melihat salah satu fitur yang tersedia pada WP Maps Pro.

Plugin tersebut memiliki fitur Temporary Access yang dirancang untuk membantu tim dukungan teknis melakukan troubleshooting jika pengguna mengalami masalah.

Fitur ini memungkinkan vendor mendapatkan akses sementara ke website pelanggan.

Masalahnya, fitur tersebut menggunakan endpoint AJAX yang dapat diakses tanpa autentikasi yang memadai.

Selain itu, perlindungan yang digunakan hanya berupa nonce, yaitu token keamanan yang ternyata dapat diakses melalui halaman frontend website. (wordfence.com)

Akibatnya, penyerang dapat:

  1. Mengambil nonce yang tersedia.
  2. Mengirim request khusus ke endpoint yang rentan.
  3. Membuat akun administrator baru.
  4. Mendapatkan URL login otomatis.
  5. Masuk ke dashboard WordPress sebagai administrator. (radar.offseq.com)

Kronologi Penemuan Kerentanan

Kerentanan ini pertama kali ditemukan oleh peneliti keamanan David Brown melalui program bug bounty milik Wordfence.

Setelah menerima laporan tersebut, Wordfence melakukan verifikasi dan mengonfirmasi bahwa kerentanan dapat dieksploitasi untuk membuat akun administrator baru.

Tim Wordfence kemudian berkoordinasi dengan pengembang plugin melalui Envato Security Team agar perbaikan dapat segera dilakukan.

Sebagai hasilnya, pengembang merilis patch keamanan pada WP Maps Pro versi 6.1.1 untuk menutup celah tersebut. (wordfence.com)

Eksploitasi Sudah Terjadi di Dunia Nyata

Yang perlu menjadi perhatian adalah kerentanan ini bukan sekadar teori.

Menurut laporan keamanan, para hacker telah mulai mengeksploitasi situs WordPress yang masih menggunakan versi rentan.

Wordfence mendeteksi adanya aktivitas eksploitasi yang menargetkan website yang belum melakukan pembaruan plugin. (bleepingcomputer.com)

Hal ini cukup umum terjadi pada ekosistem WordPress karena banyak administrator yang menunda proses update plugin.

Tahapan Serangan yang Dilakukan Hacker

Secara umum, proses serangan berlangsung sebagai berikut:

1. Mencari Website yang Rentan

Penyerang menggunakan berbagai alat otomatis untuk mencari website yang menggunakan WP Maps Pro versi lama.

2. Mengeksploitasi Endpoint

Setelah menemukan target, penyerang mengirim request ke endpoint AJAX yang rentan.

3. Membuat Akun Administrator

Sistem kemudian membuat akun administrator baru yang dapat digunakan oleh penyerang.

4. Login ke Dashboard

Penyerang menggunakan URL login yang dihasilkan plugin untuk masuk ke dashboard WordPress.

5. Mengambil Alih Website

Setelah mendapatkan akses administrator, penyerang dapat melakukan hampir semua hal pada website tersebut. (radar.offseq.com)

Mengapa Kerentanan Ini Sangat Berbahaya?

Ada beberapa alasan mengapa kerentanan ini dianggap sangat kritis.

Tidak Memerlukan Login

Penyerang tidak perlu memiliki akun WordPress untuk menjalankan serangan.

Mendapatkan Hak Administrator

Akses administrator memberikan kontrol penuh terhadap website.

Pengambilalihan Situs Secara Penuh

Dalam beberapa menit, penyerang dapat menguasai seluruh website. (freshysites.com)

Karena itulah kerentanan ini memiliki risiko yang sangat tinggi bagi pemilik website.

Dampak bagi Pemilik Website

Jika situs berhasil dikompromikan, dampaknya bisa sangat besar.

Risiko Teknis

Penyerang dapat:

  • Menginstal malware.
  • Menanam webshell.
  • Membuat backdoor.
  • Mengubah tampilan website.
  • Menyisipkan script berbahaya.

Risiko Bisnis

Selain masalah teknis, terdapat pula risiko bisnis seperti:

  • Kebocoran data pelanggan.
  • Kehilangan kepercayaan pengguna.
  • Penyebaran phishing melalui website.
  • Masuk daftar hitam Google.
  • Penurunan reputasi perusahaan. (thecyberexpress.com)

Analisis Teknis Kerentanan

Secara teknis, masalah utama berasal dari beberapa kelemahan keamanan.

Tidak Ada Pemeriksaan Hak Akses

Sistem gagal memastikan apakah pengguna memiliki izin untuk menjalankan fungsi sensitif.

Nonce Terpapar ke Publik

Token keamanan yang seharusnya menjadi lapisan perlindungan dapat diakses oleh siapa saja.

Broken Access Control

Endpoint yang seharusnya hanya digunakan oleh pihak tertentu dapat diakses oleh pengguna anonim.

Privilege Escalation

Pengguna tanpa hak akses dapat memperoleh hak administrator penuh. (freshysites.com)

Hubungan dengan OWASP Top 10

Kerentanan ini berkaitan dengan beberapa kategori utama dalam OWASP Top 10.

Broken Access Control

Sistem gagal membatasi akses ke fungsi sensitif.

Identification and Authentication Failures

Mekanisme autentikasi tidak berjalan sebagaimana mestinya.

Security Misconfiguration

Konfigurasi fitur support membuka peluang akses yang tidak seharusnya tersedia. (thecyberexpress.com)

Langkah Mitigasi

Jika Anda menggunakan WP Maps Pro, beberapa langkah berikut perlu segera dilakukan.

1. Update Plugin

Pastikan menggunakan WP Maps Pro versi 6.1.1 atau yang lebih baru.

Ini merupakan langkah paling penting karena patch keamanan telah tersedia. (wordfence.com)

2. Audit Akun Administrator

Periksa seluruh akun administrator yang ada.

Hapus akun yang tidak dikenal atau mencurigakan.

3. Ganti Password

Segera ubah:

  • Password WordPress.
  • Password hosting.
  • Password database.
  • Password FTP/SFTP.

4. Periksa Plugin dan Tema

Pastikan tidak ada plugin atau tema yang diinstal tanpa izin.

5. Tinjau Log Aktivitas

Periksa login mencurigakan dan perubahan konfigurasi yang tidak dikenal. (thecyberexpress.com)

Indikator Kompromi (IoC)

Beberapa tanda bahwa website mungkin telah menjadi korban serangan antara lain:

  • Muncul akun administrator baru yang tidak dikenal.
  • Login dari lokasi yang tidak biasa.
  • Adanya plugin atau tema asing.
  • Perubahan file WordPress tanpa izin.
  • Aktivitas mencurigakan pada dashboard.

Jika menemukan salah satu tanda tersebut, segera lakukan investigasi lebih lanjut.

Pelajaran bagi Pengguna WordPress

Kasus ini memberikan beberapa pelajaran penting.

Selalu Update Plugin

Banyak serangan terjadi karena plugin yang tidak diperbarui.

Hati-Hati Memilih Plugin

Gunakan plugin yang aktif dikembangkan dan memiliki rekam jejak keamanan yang baik.

Lakukan Monitoring

Pantau aktivitas website secara rutin.

Terapkan Prinsip Least Privilege

Berikan hak akses sesuai kebutuhan pengguna.

Gunakan Web Application Firewall (WAF)

WAF dapat membantu memblokir berbagai serangan sebelum mencapai aplikasi.

Kesimpulan

Kerentanan pada WP Maps Pro menunjukkan bagaimana sebuah fitur yang dibuat untuk memudahkan dukungan teknis dapat berubah menjadi celah keamanan yang sangat berbahaya jika tidak dirancang dengan baik. Melalui kelemahan pada fitur Temporary Access dan endpoint AJAX yang tidak terlindungi, penyerang dapat membuat akun administrator baru tanpa perlu login terlebih dahulu. (bleepingcomputer.com)

Karena eksploitasi telah terjadi di dunia nyata, pemilik website WordPress yang menggunakan WP Maps Pro harus segera melakukan pembaruan ke versi terbaru, memeriksa akun administrator yang ada, dan melakukan audit keamanan menyeluruh. Langkah cepat sangat penting untuk mencegah pengambilalihan situs, kebocoran data, dan kerugian yang lebih besar di kemudian hari.

Related Posts: